Condividi tramite


Baseline di sicurezza di Azure per Azure SQL

Questa baseline di sicurezza applica linee guida da Microsoft Cloud Security Benchmark versione 1.0 a Azure SQL. Il benchmark della sicurezza cloud Microsoft offre raccomandazioni su come proteggere le soluzioni cloud in Azure. Il contenuto viene raggruppato in base ai controlli di sicurezza definiti dal benchmark di sicurezza del cloud Microsoft e dalle linee guida correlate applicabili alle Azure SQL.

È possibile monitorare questa baseline di sicurezza e i relativi consigli usando Microsoft Defender for Cloud. Criteri di Azure definizioni verranno elencate nella sezione Conformità alle normative della pagina del portale di Microsoft Defender for Cloud.

Quando una funzionalità include definizioni di Criteri di Azure pertinenti, sono elencate in questa baseline per aiutare a misurare la conformità con i controlli e le raccomandazioni del benchmark di sicurezza del cloud Microsoft. Alcuni consigli potrebbero richiedere un piano di Microsoft Defender a pagamento per abilitare determinati scenari di sicurezza.

Nota

Le funzionalità non applicabili alle Azure SQL sono state escluse. Per informazioni su come Azure SQL esegue il mapping completo al benchmark di sicurezza cloud Microsoft, vedere il file di mapping completo della baseline di sicurezza Azure SQL.

Profilo di sicurezza

Il profilo di sicurezza riepiloga i comportamenti ad alto impatto di Azure SQL, che possono comportare un aumento delle considerazioni sulla sicurezza.

Attributo comportamento del servizio Valore
Product Category Database
Il cliente può accedere a HOST/sistema operativo Nessun accesso
Il servizio può essere distribuito nella rete virtuale del cliente Vero
Archivia i contenuti dei clienti inattivi Vero

Sicurezza di rete

Per altre informazioni, vedere Il benchmark di sicurezza del cloud Microsoft: Sicurezza di rete.

Sicurezza di rete 1: Stabilire i limiti di segmentazione della rete

Funzionalità

Integrazione della rete virtuale

Descrizione: il servizio supporta la distribuzione nel Rete virtuale privato del cliente( VNet). Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Linee guida per la configurazione: distribuire il servizio in una rete virtuale. Assegnare indirizzi IP privati alla risorsa (se applicabile), a meno che non vi sia un motivo sicuro per assegnare indirizzi IP pubblici direttamente alla risorsa.

Riferimento: Usare gli endpoint servizio di rete virtuale e le regole per i server in Azure SQL Database

Supporto del gruppo di sicurezza di rete

Descrizione: il traffico di rete rispetta l'assegnazione delle regole dei gruppi di sicurezza di rete nelle subnet. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Linee guida per la configurazione: usare i tag del servizio Rete virtuale di Azure per definire i controlli di accesso alla rete nei gruppi di sicurezza di rete o Firewall di Azure configurati per le risorse Azure SQL. È possibile usare tag di servizio invece di indirizzi IP specifici nella creazione di regole di sicurezza. Specificando il nome del tag del servizio nel campo di origine o di destinazione appropriato di una regola, è possibile consentire o negare il traffico per il servizio corrispondente. I prefissi di indirizzo inclusi nel tag di servizio sono gestiti da Microsoft, che lo aggiorna automaticamente in caso di modifica degli indirizzi. Quando si usano gli endpoint di servizio per Azure SQL Database, è necessario aprire gli indirizzi IP pubblici del database in uscita a Azure SQL: i gruppi di sicurezza di rete (NSG) devono essere aperti per consentire la connettività Azure SQL IP del database. A tale scopo, è possibile usare i tag del servizio NSG per Azure SQL Database.

Riferimento: Usare gli endpoint servizio di rete virtuale e le regole per i server in Azure SQL Database

Sicurezza di rete 2: Proteggere i servizi cloud con controlli di rete

Funzionalità

Descrizione: funzionalità di filtro IP nativo del servizio per filtrare il traffico di rete (da non confondere con il gruppo di sicurezza di rete o Firewall di Azure). Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Linee guida per la configurazione: distribuire endpoint privati per tutte le risorse di Azure che supportano la funzionalità di collegamento privato per stabilire un punto di accesso privato per le risorse.

Riferimento: collegamento privato di Azure per Azure SQL Database e Azure Synapse Analytics

Disabilitare l'accesso alla rete pubblica

Descrizione: il servizio supporta la disabilitazione dell'accesso alla rete pubblica tramite l'uso di una regola di filtro ACL IP a livello di servizio (non NSG o Firewall di Azure) o tramite un interruttore "Disabilita accesso alla rete pubblica". Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
True True Microsoft

Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa opzione è abilitata in una distribuzione predefinita.

Riferimento: impostazioni di connettività Azure SQL

Monitoraggio di Microsoft Defender for Cloud

Criteri di Azure definizioni predefinite - Microsoft.Sql:

Nome
(Portale di Azure)
Descrizione Effetto/i Versione
(GitHub)
Azure SQL Istanze gestite deve disabilitare l'accesso alla rete pubblica La disabilitazione dell'accesso alla rete pubblica (endpoint pubblico) nelle istanze gestite di Azure SQL migliora la sicurezza assicurando che sia possibile accedervi solo dall'interno delle reti virtuali o tramite endpoint privati. Per altre informazioni sull'accesso alla rete pubblica, visitare https://aka.ms/mi-public-endpoint. Audit, Deny, Disabled 1.0.0

Gestione delle identità

Per altre informazioni, vedere Il benchmark di sicurezza del cloud Microsoft: Gestione delle identità.

IM-1: usare un sistema di identità e autenticazione centralizzato

Funzionalità

Autenticazione di Azure AD obbligatoria per l'accesso al piano dati

Descrizione: il servizio supporta l'uso dell'autenticazione di Azure AD per l'accesso al piano dati. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Condiviso

Note sulla funzionalità: Azure SQL Database supporta più meccanismi di autenticazione del piano dati, uno dei quali è AAD.

Linee guida per la configurazione: usare Azure Active Directory (Azure AD) come metodo di autenticazione predefinito per controllare l'accesso al piano dati.

Riferimento: Usare l'autenticazione di Azure Active Directory

Metodi di autenticazione locali per l'accesso al piano dati

Descrizione: metodi di autenticazione locali supportati per l'accesso al piano dati, ad esempio un nome utente e una password locali. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Note sulle funzionalità: evitare l'utilizzo di account o metodi di autenticazione locali, è consigliabile disabilitare laddove possibile. Usare invece Azure AD per l'autenticazione laddove possibile.

Linee guida per la configurazione: limitare l'uso dei metodi di autenticazione locale per l'accesso al piano dati. Usare invece Azure Active Directory (Azure AD) come metodo di autenticazione predefinito per controllare l'accesso al piano dati.

Riferimento: Azure SQL Accesso al database

Monitoraggio di Microsoft Defender for Cloud

Criteri di Azure definizioni predefinite - Microsoft.Sql:

Nome
(Portale di Azure)
Descrizione Effetto/i Versione
(GitHub)
È consigliabile effettuare il provisioning di un amministratore di Azure Active Directory per i server SQL Controlla il provisioning di un amministratore di Azure Active Directory per il server SQL per abilitare l'autenticazione di Azure AD. L'autenticazione di Azure AD consente una gestione semplificata delle autorizzazioni e una gestione centralizzata delle identità di utenti di database e di altri servizi Microsoft AuditIfNotExists, Disabled 1.0.0

IM-3: gestire le identità delle applicazioni in modo sicuro e automatico

Funzionalità

Identità gestite

Descrizione: le azioni del piano dati supportano l'autenticazione tramite identità gestite. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Linee guida per la configurazione: usare le identità gestite di Azure anziché le entità servizio, quando possibile, che possono eseguire l'autenticazione ai servizi e alle risorse di Azure che supportano l'autenticazione di Azure Active Directory (Azure AD). Le credenziali di identità gestite vengono completamente gestite, ruotate e protette dalla piattaforma, evitando credenziali hardcoded nel codice sorgente o nei file di configurazione.

Riferimento: Identità gestite per Transparent Data Encryption con BYOK

Entità servizio

Descrizione: il piano dati supporta l'autenticazione tramite entità servizio. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
True True Microsoft

Note sulle funzionalità: Azure SQL DATABASE offre diversi modi per eseguire l'autenticazione nel piano dati, uno dei quali è Azure AD e include identità gestite e entità servizio.

Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa opzione è abilitata in una distribuzione predefinita.

Informazioni di riferimento: entità servizio di Azure Active Directory con Azure SQL

IM-7: limitare l'accesso alle risorse in base alle condizioni

Funzionalità

Accesso condizionale per il piano dati

Descrizione: l'accesso al piano dati può essere controllato usando i criteri di accesso condizionale di Azure AD. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Linee guida per la configurazione: definire le condizioni e i criteri applicabili per l'accesso condizionale di Azure Active Directory (Azure AD) nel carico di lavoro. Prendere in considerazione casi d'uso comuni, ad esempio il blocco o la concessione dell'accesso da posizioni specifiche, il blocco del comportamento di accesso rischioso o la richiesta di dispositivi gestiti dall'organizzazione per applicazioni specifiche.

Riferimento: Accesso condizionale con database Azure SQL

IM-8: limitare l'esposizione di credenziali e segreti

Funzionalità

Le credenziali e i segreti del servizio supportano l'integrazione e l'archiviazione in Azure Key Vault

Descrizione: il piano dati supporta l'uso nativo di Azure Key Vault per l'archivio di credenziali e segreti. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Note sulla funzionalità: le chiavi crittografiche SOLO possono essere archiviate in AKV, non in segreti né credenziali utente. Ad esempio, le chiavi di protezione Transparent Data Encryption.

Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.

Accesso con privilegi

Per altre informazioni, vedere Il benchmark di sicurezza del cloud Microsoft: Accesso con privilegi.

PA-1: separare e limitare gli utenti con privilegi elevati/amministratori

Funzionalità

Account Amministrazione locali

Descrizione: il servizio ha il concetto di account amministrativo locale. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Note sulla funzionalità: non esiste un 'amministratore locale' per il database Azure SQL, non esiste alcun account sa. L'account che configura l'istanza è tuttavia un amministratore.

Indicazioni sulla configurazione: questa funzionalità non è supportata per proteggere questo servizio.

PA-7: seguire il principio dell'amministrazione appena sufficiente (privilegi minimi)

Funzionalità

Controllo degli accessi in base al ruolo di Azure per il piano dati

Descrizione: è possibile usare Azure Role-Based Controllo di accesso (Controllo degli accessi in base al ruolo di Azure) per gestire l'accesso alle azioni del piano dati del servizio. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Note sulla funzionalità: Azure SQL database offre un modello di autorizzazione del piano dati avanzato e specifico del database.

Indicazioni sulla configurazione: questa funzionalità non è supportata per proteggere questo servizio.

PA-8: determinare il processo di accesso per il supporto del provider di servizi cloud

Funzionalità

Customer Lockbox

Descrizione: Customer Lockbox può essere usato per l'accesso al supporto Tecnico Microsoft. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Indicazioni sulla configurazione: negli scenari di supporto in cui Microsoft deve accedere ai dati, usare Customer Lockbox per esaminare, approvare o rifiutare le richieste di accesso ai dati di Microsoft.

Protezione dei dati

Per altre informazioni, vedere il benchmark di sicurezza cloud Microsoft: Protezione dei dati.

DP-1: Individuare, classificare ed etichettare i dati sensibili

Funzionalità

Individuazione e classificazione dei dati sensibili

Descrizione: è possibile usare strumenti come Azure Purview o Azure Information Protection per l'individuazione e la classificazione dei dati nel servizio. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
True True Microsoft

Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa operazione è abilitata in una distribuzione predefinita.

Riferimento: Individuazione dati & classificazione

DP-2: Monitorare anomalie e minacce che prendono di mira dati sensibili

Funzionalità

Prevenzione della perdita/perdita dei dati

Descrizione: il servizio supporta la soluzione DLP per monitorare lo spostamento dei dati sensibili (nel contenuto del cliente). Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Note sulla funzionalità: sono disponibili strumenti che possono essere usati con SQL Server per DLP, ma non è disponibile alcun supporto predefinito.

Indicazioni sulla configurazione: questa funzionalità non è supportata per proteggere questo servizio.

Monitoraggio di Microsoft Defender for Cloud

Criteri di Azure definizioni predefinite - Microsoft.Sql:

Nome
(Portale di Azure)
Descrizione Effetto/i Versione
(GitHub)
Azure Defender per SQL deve essere abilitato per istanze gestite SQL non protette Controlla ogni istanza gestita di SQL senza Sicurezza dei dati avanzata. AuditIfNotExists, Disabled 1.0.2

DP-3: Crittografare i dati sensibili in movimento

Funzionalità

Crittografia dei dati in transito

Descrizione: il servizio supporta la crittografia dei dati in transito per il piano dati. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
True True Microsoft

Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa operazione è abilitata in una distribuzione predefinita.

Riferimento: versione TLS minima

DP-4: Abilitare la crittografia dei dati inattivi per impostazione predefinita

Funzionalità

Dati inattivi crittografia tramite chiavi della piattaforma

Descrizione: la crittografia inattiva tramite chiavi della piattaforma è supportata, qualsiasi contenuto del cliente inattivo viene crittografato con queste chiavi gestite da Microsoft. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
True True Microsoft

Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa operazione è abilitata in una distribuzione predefinita.

Riferimento: Crittografia dei dati trasparente per database SQL, Istanza gestita di SQL e Azure Synapse Analytics

Monitoraggio di Microsoft Defender for Cloud

Criteri di Azure definizioni predefinite - Microsoft.Sql:

Nome
(Portale di Azure)
Descrizione Effetto/i Versione
(GitHub)
È consigliabile abilitare Transparent Data Encryption nei database SQL Abilitare Transparent Data Encryption per proteggere i dati inattivi e rispettare i requisiti relativi alla conformità AuditIfNotExists, Disabled 2.0.0

DP-5: Usare l'opzione della chiave gestita dal cliente nella crittografia dei dati inattivi quando necessario

Funzionalità

Crittografia dei dati inattivi tramite chiave gestita dal cliente

Descrizione: la crittografia dei dati inattiva tramite chiavi gestite dal cliente è supportata per il contenuto del cliente archiviato dal servizio. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Linee guida per la configurazione: se necessario per la conformità alle normative, definire il caso d'uso e l'ambito del servizio in cui sono necessarie le chiavi gestite dal cliente. Abilitare e implementare la crittografia dei dati inattivi usando la chiave gestita dal cliente per tali servizi.

Riferimento: Crittografia dei dati trasparente per database SQL, Istanza gestita di SQL e Azure Synapse Analytics

Monitoraggio di Microsoft Defender for Cloud

Criteri di Azure definizioni predefinite - Microsoft.Sql:

Nome
(Portale di Azure)
Descrizione Effetto/i Versione
(GitHub)
Le istanze gestite di SQL devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi L'implementazione di Transparent Data Encryption con la chiave personale offre maggiore trasparenza e controllo su TDE Protector, sicurezza avanzata con un servizio esterno supportato dal modulo di protezione hardware e la promozione della separazione dei compiti. Questa raccomandazione si applica alle organizzazioni con un requisito di conformità correlato. Audit, Deny, Disabled 2.0.0

DP-6: Usare un processo di gestione delle chiavi sicure

Funzionalità

Gestione delle chiavi - Azure Key Vault

Descrizione: il servizio supporta l'integrazione di Azure Key Vault per le chiavi, i segreti o i certificati dei clienti. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Condiviso

Note sulla funzionalità: alcune funzionalità possono usare AKV per le chiavi, ad esempio quando si usa Always Encrypted.

Linee guida per la configurazione: usare Azure Key Vault per creare e controllare il ciclo di vita delle chiavi di crittografia (TDE e Always Encrypted), tra cui la generazione di chiavi, la distribuzione e l'archiviazione. Ruotare e revocare le chiavi in Azure Key Vault e il servizio in base a una pianificazione definita o quando si verifica un ritiro o un compromesso chiave. Quando è necessario usare la chiave gestita dal cliente (CMK) nel carico di lavoro, nel servizio o a livello di applicazione, assicurarsi di seguire le procedure consigliate per la gestione delle chiavi. Se è necessario portare la propria chiave (BYOK) al servizio (ad esempio l'importazione di chiavi protette da HSM dalle macchine virtuali locali in Azure Key Vault), seguire le linee guida consigliate per eseguire la generazione iniziale e il trasferimento delle chiavi.

Riferimento: Configurare Always Encrypted usando Azure Key Vault

Gestione degli asset

Per altre informazioni, vedere il benchmark di sicurezza cloud Microsoft: Gestione delle risorse.

AM-2: Utilizzare solo servizi approvati

Funzionalità

Supporto di Criteri di Azure

Descrizione: le configurazioni del servizio possono essere monitorate e applicate tramite Criteri di Azure. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Linee guida per la configurazione: usare Microsoft Defender per Cloud per configurare Criteri di Azure per controllare e applicare le configurazioni delle risorse di Azure. Usare Monitoraggio di Azure per creare avvisi quando viene rilevata una deviazione nella configurazione delle risorse. Usare Criteri di Azure [deny] e [deploy se non esiste] effetti per applicare la configurazione sicura tra le risorse di Azure.

Riferimento: Criteri di Azure definizioni predefinite per Azure SQL database & Istanza gestita di SQL

Registrazione e rilevamento delle minacce

Per altre informazioni, vedere il benchmark di sicurezza cloud Microsoft: Registrazione e rilevamento delle minacce.

LT-1: Abilitare le funzionalità di rilevamento delle minacce

Funzionalità

Microsoft Defender per l'offerta di servizi/prodotti

Descrizione: il servizio include una soluzione di Microsoft Defender specifica dell'offerta per monitorare e avvisare i problemi di sicurezza. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Linee guida alla configurazione: Microsoft Defender per Azure SQL consente di individuare e attenuare potenziali vulnerabilità del database e avvisi per le attività anomale che potrebbero essere un'indicazione di una minaccia ai database.

Informazioni di riferimento: Panoramica delle Microsoft Defender per Azure SQL

Monitoraggio di Microsoft Defender for Cloud

Criteri di Azure definizioni predefinite - Microsoft.Sql:

Nome
(Portale di Azure)
Descrizione Effetto/i Versione
(GitHub)
Azure Defender per SQL deve essere abilitato per i server di Azure SQL non protetti Controlla server SQL senza Sicurezza dei dati avanzata AuditIfNotExists, Disabled 2.0.1

LT-3: Abilitare la registrazione per l'analisi della sicurezza

Altre indicazioni per LT-3

Abilitare la registrazione a livello di server perché verrà filtrata anche in base ai database.

Monitoraggio di Microsoft Defender for Cloud

Criteri di Azure definizioni predefinite - Microsoft.Sql:

Nome
(Portale di Azure)
Descrizione Effetto/i Versione
(GitHub)
È consigliabile abilitare il controllo in SQL Server Abilitare il controllo in SQL Server per verificare le attività del database in tutti i database sul server e salvarle in un log di controllo. AuditIfNotExists, Disabled 2.0.0

LT-4: abilitare la registrazione per l'analisi della sicurezza

Funzionalità

Log delle risorse di Azure

Descrizione: il servizio produce log delle risorse in grado di fornire metriche e registrazione avanzate specifiche del servizio. Il cliente può configurare questi log delle risorse e inviarli al proprio sink di dati, ad esempio un account di archiviazione o un'area di lavoro log analytics. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Vero Falso Customer

Linee guida per la configurazione: abilitare i log delle risorse per il servizio. Ad esempio, Key Vault supporta log di risorse aggiuntivi per le azioni che ottengono un segreto da un insieme di credenziali delle chiavi o Azure SQL hanno log delle risorse che tengono traccia delle richieste a un database. Il contenuto dei log delle risorse varia in base al servizio di Azure e al tipo di risorsa.

Riferimento: Informazioni di riferimento sul monitoraggio dei dati del database Azure SQL

Backup e ripristino

Per altre informazioni, vedere Il benchmark di sicurezza del cloud Microsoft: Backup e ripristino.

BR-1: Assicurare backup regolari automatici

Funzionalità

Backup di Azure

Descrizione: il servizio può essere sottoposto a backup dal servizio Backup di Azure. Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
Falso Non applicabile Non applicabile

Linee guida per la configurazione: questa funzionalità non è supportata per proteggere questo servizio.

Funzionalità di backup nativo del servizio

Descrizione: il servizio supporta la propria funzionalità di backup nativa (se non si usa Backup di Azure). Altre informazioni

Supportato Abilitato per impostazione predefinita Responsabilità della configurazione
True True Microsoft

Linee guida per la configurazione: non sono necessarie configurazioni aggiuntive perché questa opzione è abilitata in una distribuzione predefinita.

Riferimento: Backup automatizzati - database Azure SQL

Passaggi successivi